Apple исправила 41 уязвимость и починила файрволл
dl // 15.11.07 22:28
Из них 15 исправлений системы могут считаться критическими, допускающими удаленное исполнение кода, еще пара дюжин приводят к разнообразным зависаниям и вылетам, краже информации и т.п.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/11/04.html]
Многие исправления затрагивают сторонние open source приложения, поставляемые вместе с системой, включая BIND, bzip, Kerberos. Десяток исправлений также затрагивает Windows-версию Safari.

Кроме того, сутки спустя Apple признала существование по крайней мере трех серьезных просчетов в реализации файрволла (сводящихся в основном к тому, что процессы, запущенные из-под рута, продолжали принимать входящие соединения при любых настройках), и выпустила их исправление, наконец-то позволяющее полноценно блокировать выбранные службы.

Источник: InfoWorld теги: apple, patch, windows, open source  |  обсудить  |  все отзывы (2)

В Visual Studio 2008 войдет библиотека питерских разработчиков
dl // 15.11.07 20:27
Случилось чудо - остававшаяся практически неизменной в части построения интерфейсов в течение последнего десятка лет MFC к следующей своей верии (точнее, к обещанному обновлению Visual Studio 2008, выходящая в конце ноября версия все эти вкусности еще не включает) обретет ряд новых компонентов, включающих (не верю своим глазам) полноценный grid, docking windows в стиле самой VS, ribbon в стиле последнего офиса.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/11/03.html]

Что еще более удивительно, Microsoft предпочла использовать при этом не свою реализацию соответствующих интерфейсных элементов, а лицензировать ее у зарегистрированной в Санкт-Петербурге компании BCGSoft - что, несомненно, является большим успехом последней, с чем я и поздравляю. Забавно, но оказалось, что проще купить готовое решение, имитирующее разработки соседних отделов, чем заставить эти самые соседние отделы довести свою работу до состояния, пригодного для независимого использования.

C учетом того, что по крайней мере первая реализация новых компонентов будет целиком включена в mfc90.dll (или как там ее назовут), которая при этом подрастет с 1.2Mb до 3.8, это не слишком хорошая новость для использующих решения других производителей. С другой стороны, включение подобных средств в стандартную поставку ставит под вопрос само существование других производителей, поднявшихся на затыкании дырок в функциональности MFC - заинтересованная в них аудитория явно прилично сократится.

Источник: Visual C++ Team Blog теги: microsoft, windows  |  обсудить  |  все отзывы (0)

Ноябрьские обновления от MS
dl // 13.11.07 21:35
На этот раз всего два - одно критическое (уязвимость в Shell32.dll, связанная с обработкой URI и приводящая к удаленному исполнению кода) и одно важное - уязвимость в Windows DNS Server, допускающую искажение DNS-ответов непривилегированными пользователями.

Источник: Microsoft Security Bulletin Summary теги: microsoft, patch, windows, server  |  обсудить  |  все отзывы (0)

Серьезная уязвимость в Oracle
dl // 09.11.07 17:50
Переполнение буфера позволяет аутентифицированному удаленному пользователю выполнить произвольный код на системе с правами аккаунта, под которым запущен сервер базы данных.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/11/01.html]
Производитель извещен в феврале (!), в ноябре опубликован демонстрационный код. Как минимум, уязвимости подвержена версия Oracle Database 10g Release 2 со всеми обновлениями по состоянию на февраль 2007, не исключаются и другие версии.

Предположительно, Oracle уже подготовила исправление, но не планирует ради его публикации нарушать свой квартальный цикл выпуска патчей. Так что ближайшее обновление ожидается не ранее 15 января.

Источник: iDefense Labs теги: oracle, уязвимости  |  обсудить  |  все отзывы (0)

Утечка личной информации на Одноклассники.ru
dl // 31.10.07 22:18
Довольно забавная ошибка, хотя потенциально применимая для целенаправленного использования.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/10/12.html]
Проявилась в тот момент, когда Антон Носик опубликовал в своем журнале ссылку на одноклассническую страницу организатора беспорядков, случившихся на вчерашних политических дебатах. В ссылку был включен идентификатор сессии, что привело к весьма своеобразным последствиям.

Во-первых, страница стала доступна и незарегистрированным пользователям (возможно, идентификатор сессии и был включен ради этого, а не просто по неосторожности). Во-вторых, после ее открытия переход по ссылкам верхнего меню ("Моя страница", "Мои сообщения") приводит к отображению соответствующих страниц случайных (или не очень) пользователей сервиса, дает просматривать личные сообщения, фотографии, редактировать профиль и т.п.

По одной из версий, таким образом засвечивается страница пользователя, перед этим прошедшего по ссылке с идентификатором сессии. Если это предположение правильно, то существует возможность целенаправленной атаки путем заманивания на соответствующую ссылку. Звучит вполне правдоподобно, впрочем, однозначно подтвердить эту версию, попеременно заходя с нескольких аккаунтов, лично мне не удалось - то ли поток желающих пройтись по ссылке стал слишком велик, то ли источник проблемы все-таки в чем-то другом.

Похоже, что ошибки вокруг запоминания логина становятся настоящим бичом онлайновых сервисов.

Update. Дырку довольно оперативно закрыли, но, судя по интенсивно меняющимся в последние минуты ее существования фотографиям и именам, желающих покуражиться над чужими аккаунтами оказалось не так уж мало (а что было бы, попади эти 3.5 часа на пик рабочего времени, и представить страшно). Так что пользователям из "группы риска", сходившим по носиковской ссылке, как минимум стоит наведаться на свою страницу.

Источник: dolboeb lj теги: leak  |  обсудить  |  все отзывы (0)

««    «   221  |  222  |  223  |  224  |  225  |  226  |  227  |  228  |  229  |  230   »    »»

Предложить свою новость